计算机应用系统中权限管理需求概述及数据库设计-王昌宇.doc

计算机应用系统中权限管理需求概述及数据库设计权限是一个复杂而又简单的问题，一般权限管理系统不会单独使用，而是和具体的计算机应用系统（或者叫业务系统）结合使用，用于控制计算机应用系统中的某些资源。用一句简单的话说，权限就是谁(一般是人)对计算机应用系统的什么资源(数据或数据描述的信息，以及定义在数据和信息上的操作)具有什么样的许可，而权限管理系统就是管理具体使用计算机应用系统的人员权限的系统。在现实生活中，对于一个企业或组织来说，每类成员(比如说会计，警察，业务员等具体职务对应的职员)甚至是每个成员的职能、责任、权利都不相同，可支配使用的资源也不相同，需要承担的工作和任务当然也不相同。对于业务员来说，更多的是了解业务知识、管理属于自己的文件和客户信息，以及完成自己的业务工作。没有必要和权力去管理其他业务员的工作和客户信息，当然更没有必要和权力去审批他所在部门的部门经理应该审批的文件。而对于部门经理来说，除开了解管理知识外，还可以了解业务知识和每一个业务员的客户信息、工作信息，并对重要文件、业务员及其他职员进行管理、审批相关文件、主持相关工作等。其实，现实生活中人们通过保险柜或人本身来保存相关重要文件，通过划分职能和授权来限制某些成员权利就是对权限的一种管理，是权限管理在现实中的一种反映。人是有主观能动性的，当某些资源或业务工作过程由人来管理时，人们总是会借助许多工具来达到权利的制衡，资源的合理分配。但是，随着社会的发展，计算机的出现和应用，企业或组织的办公和日常业务逐渐与计算机应用相结合。然而，计算机应用系统本身并不像人那样具有主观能动性，可以借助相关工具来自动控制使用系统的用户的权限。但是，企业或组织信息计算机化后，大部分甚至全部的重要资源信息或业务过程都交给了计算机应用系统来管理。如果，不对系统进行有效的权限控制，而是任何人员都可以访问和操作系统，显然对企业或组织的日常作业势必会造成混乱，相关安全也无法得到保障。所以，在计算机应用系统中内置权限管理机制显得十分重要。而从结构上划分，企业或组织的计算机应用系统分为B/S结构系统和C/S结构系统两种。较于C/S结构的系统，B/S结构的系统在权限管理方面更为重要。因为C/S结构的系统具有特殊的客户端，所以用户的权限可以通过客户端实现或“客户端+服务器”来检测实现。而在B/S结构的系统中，浏览器是每一台计算机都可能具备的，如果不建立一个完善的权限管理机制，那么任何一个“非法用户”很可能就会通过浏览器轻易访问到B/S结构系统中的所有资源或功能。因此，建立一个完善的用户和权限管理机制是非常重要的。下面我们就来一起了解一下用户和权限管理的一些重要概念，以及如何设计一个通用的满足大部分计算机应用系统的权限管理子系统。一 用户和权限管理相关重要概念描述用户和权限管理的核心是用户、资源、角色和权限这四部分，这也是一个完整的权限管理系统应该包括的四个部分。用户是对一切使用计算机应用系统的人员的抽象，资源主要是指系统中的数据和数据表示的信息，以及定义在数据和信息上的操作，权限则是指用户访问或使用系统资源的许可，而角色则是指一组权限的集合，它通过绑定一组权限来代表企业或组织中的一种职能、资格、权利和责任，或者是一个完整的业务过程。下面我们来详细介绍一下这些概念极其它们之间的关系，以及一些其他的重要概念和关系。1. 概念描述：(1).用户：用户是对一切使用计算机应用系统的主体的抽象，是可以独立访问或操作计算机应用系统中的并在其许可范围内的数据和用数据表示的信息、以及定义在数据和信息上的操作的主体。一般情况下，用户是指实际使用计算机应用系统以获取相关业务信息，完成相关业务工作的人员。而这些人员都是通过系统管理员分配的一个唯一的用户名/密码对来访问、登录和使用系统，且在系统中每一个用户都代表一个具体使用系统的主体人。(2).人员：对一个企业或组织来说，人员指的是企业或组织的成员(或职员)，这些成员之间存在上下级隶属关系。有些人只有部下，有些人只有上司，而有些人既有上司也有部下。对于权限管理系统来说，人员是访问、登录和操作计算机应用系统的主体人，抽象一点讲就是用户。也就是说，每一个访问、登录和操作计算机应用系统的具体人员都是系统的一个用户。(3).资源：资源是个宏观而抽象的概念，从人类社会的角度讲，它指一切可被人类开发和利用的，并可转化为物质财富或精神财富的客观存在。我们这里只讨论一个计算机应用系统中的资源及其组成。在计算机应用系统中，资源指的是系统中一切可被系统用户访问和使用，以获取相关业务信息、完成相关业务工作的数据和用数据表示的信息，以及定义在数据和信息上的操作的组合。由此可以看出，计算机应用系统的资源主要由信息资源(指数据和用数据表示的信息)和功能资源(指定义在数据和信息上的操作)两部分组成，是对信息资源和功能资源的总称。信息资源主要是为功能资源提供数据和信息，而功能资源则往往用来操作信息资源提供的数据和信息为用户提供具体的功能服务。(4).模块：一般一个计算机应用系统的UI界面上会有一些树状或线性的导航模组，我们将其称为系统的模块或菜单，而把模块下的具体操作称为模块的功能。然而，这些模块或菜单本身并不是具体的操作(或功能)，它们只是通过相应的UI界面将数据和数据表示的信息，以及定义在数据和信息上的操作组合成具体的功能，并将功能展现在它们所链接的UI界面上。而用户则是通过操作这些UI界面上的一些功能来获取相关的业务信息、完成相关的业务操作。(5).功能：功能指的是计算机应用系统中模块或菜单所链接的UI界面上的具体操作(如查询、添加、删除等等)。(6).菜单：菜单指的是计算机应用系统中UI界面上那些树状或线性的、用来把系统中的数据和数据表示的信息，以及定义在数据和信息上的操作组合成具体功能的导航模组。一般，在一个树状导航模组上，菜单是分级的，它们之间体现着一种隶属关系。有些菜单只有子菜单，而有些菜单只有父菜单，还有些菜单既有子菜单也有父菜单。(7).权限：权限指的是用户访问、登录和使用计算机应用系统中资源的许可。在现实生活中，企业或组织的每类成员甚至每个成员在企业或组织中的权利、职能、资格和责任是不同的，充当的角色和承担的工作，以及可支配使用的资源也是不同的。因此，人们通过隔离一些信息和资源、划分一些职能并授权来管理每一个成员的的权利和可支配使用的资源，使得每一个成员都在合适的权限和资源范围内各司其职、各谋其政、各尽其责。当一个企业或组织的信息和日常业务计算机化，形成自己的计算机应用系统后，这种现实中的对人员职能的划分和权限的管理也要计算机化并集成到企业或组织的计算机应用系统中，并对系统中的各种资源做权限管理。然后在系统中为每一个成员指定一个唯一的、根据成员的职责或实际业务工作而分配了合适权限或角色的用户名/密码对，用以登录和使用系统来获取相关的业务信息，完成相关的业务操作。(8).角色：角色是一个宏观而抽象的概念，在现实生活中它是对处于特定位置并具备相应行为模式的所有主体的抽象。比如说胡锦涛主席，其实他和我们一样是一个主体人，不一样的是他处于中华人民共和国政府的最高层，并肩负着组织、管理和统治国家的行为责任。所以，我们就可以把处于一个国家政府最高层，并具备组织、管理和统治国家的所有主体抽象为国家元首这样的角色。只要符合这个角色所代表的位置并具备这个角色的行为模式，我们都可以把这个角色赋予给他。比如说，我们可以称胡锦涛为国家元首，也可以称温家宝为国家元首，当然也可以称江泽民为国家元首等等。从企业或组织的角度讲，角色是对处于企业或组织中特定工作或位置，并具备相应行为和权力的所有主体的抽象。比如说，会计员角色是对企业或组织的财务部门的所有会计主体的抽象。由此看来，角色其实代表了一种资格、权利和责任。在权限管理系统中，角色是一组权限的集合，但在为它分配权限的时候并不是没有规则和依据的。一般情况下，系统管理员应该根据实际企业或组织的部门所对应的具体职位，或一项实际业务操作过程来为角色绑定若干权限并命名。然后，可以把某角色赋予所有符合这个角色所代表的资格、权利和责任的主体人所对应的用户。这样，就做到了基于角色的权限管理。(9).群组：在权限管理系统中，群组一般指的是拥有相同权限的用户所对应的主体人的集合，其实它是对所有权限相同的系统用户所对应的主体人的一种划分。从这个意义上讲，好像角色和群组有点相似，然而事实上它们是有区别的。群组的出发点是以权限是否相同来对系统用户所对应的主体人做划分，然后为群组绑定相应的权限并把该群组赋予所有属于这个群组的主体人所对应的用户。而角色则是以用户所代表的主体人的特定位置和行为模式，以及主体人具备的资格、权利和责任为出发点来对主体人做的一种抽象和划分，然后为该角色绑定相应的权限并把该角色赋给所有符合这个角色的主体人所对应的用户。(10).组织(或企业)：指现实生活中的企业、公司、政党等组织。它的特点是由结合了具体成员的各个职能不同的机构组成，这些职能不同的机构之间存在上下级隶属关系。(11).部门：指组成组织或企业的各个职能不同的机构。部门之间存在上下级隶属关系。(12).职务(或职位)：指组织或企业中各部门职能具体化后所对应的职能位置。2. 关系描述：(1).资源和模块、功能之间的关系：资源包含了模块和功能，每个模块都组织和包含了系统中部分数据和数据表示的信息，以及定义在数据和信息上的操作。因此整个系统资源包含了每个模块组织和包含的资源。(2).菜单和权限之间的关系：一个菜单可能对应多个信息资源或功能资源，也可能不对应任何资源，而只是有一些下级菜单。所以，菜单和权限之间是0.*的关系。(3).用户和权限之间的关系：一个用户可能拥有多个权限，而同一权限也可能分配给不同的用户。所以，用户和权限之间是m.n的关系。(4).角色和权限之间的关系：一个角色可能拥有多个权限，而同一权限也可能分配给不同的角色。所以，角色和权限之间是m.n的关系。(5).用户和角色之间的关系：一个用户可能拥有多个角色，而同一角色也可能分配给不同的用户。所以，用户和角色之间是m.n的关系。(6).用户和人员之间的关系：一个具体使用计算机应用系统的人员只能有一个唯一对应的用户，同样一个用户只能分配给一个具体使用系统的人员。所以，用户和人员之间是1.1的关系。(7).人员和部门之间的关系：一个具体人员可能会在一个以上的部门工作，而一个部门可能会有一个以上的人员工作。所以，人员和部门之间是m.n的关系。(8).人员和职务(或职位)之间的关系：一个具体人员可能会身兼数职，而一个职位可能对应多个人员。所以，人员和职务之间的关系是m.n关系。(9).部门和组织(或企业)的关系：一个企业或组织可能会有多个职能不同的部门，而一个部门总是属于一个企业或组织。所以，企业或组织和部门之间是1.*的包含关系。(10).部门和职务(或职位)之间的关系：一个部门可能会有多个职位(或职务)，而一个职位总是属于一个企业或组织的某个部门。所以，部门和职务之间是1.*的包含关系。二 用户和权限管理业务需求描述1. 计算机应用系统不是人人都可以使用的，系统和系统资源需要进行权限控制和管理。2. 使用系统的人员因其职责不同，应该对系统的资源具有不同的权限。3. 总是有些人员的职务和工作是相同的，也就是说这些人员在实际工作中充当着同样的角色。所以，同角色的人员应该具备一些基础的角色权限。4. 针对具体的人员，除开拥有他所在角色的权限外，可能在实际工作中他的权限会少于或多于同角色下的其他人员。所以，可能需要在角色权限的基础上，对具体人员的权限做增加或删除等调整。5. 每一个使用系统的人员要能修改自己的用来登录系统的密码。6权限管理系统应该是可以扩展的，它应该能够方便的集成到任何需要做权限管理的计算机应用系统当中，也可以很方便的从计算机应用系统中移除。它应该像组件一样可以不断的被重用，而不是每开发一套计算机应用系统就要针对权限管理部分进行重新开发。三 用户和权限管理功能描述1 功能描述：(1).用户管理：主要是对使用计算机应用系统的人员所对应的用户信息的管理，包括添加用户、修改用户、删除用户、查看用户权限、添加用户角色、调整用户权限等(添加权限和删除权限)。(2).角色管理：主要是对角色信息进行管理，包括添加角色、修改角色、删除角色、查看角色权限、添加角色权限、修改角色权限(添加权限和删除权限)等。(3).模块权限管理：主要是对计算机应用系统的模块和权限信息的管理，包括添加模块、修改模块、删除模块，查看模块权限、添加模块权限，修改模块权限、删除模块权限等。(4).修改密码：主要是对系统用户的密码信息进行修改的管理，包括更换密码等。(5).用户登录：当一个用户登录系统时，系统应提供如下功能：A查询用户权限表并判断该用户有哪些权限，从而为该用户显示对应的菜单并提供对应的功能。这整个过程是在系统后台进行的，一般对用户来说是不可见的。这里一般有两种做法：一是，如果系统菜单是静态菜单，则通过程序来判断当前用户有哪些菜单和权限，将有的菜单和权限显示，没有的隐藏。二是，如果系统菜单采用动态生成的方式，那么系统将查询到的用